多业务安全网关XMG

信锐技术自主研发的信锐锐灵系列多元化、高性能的多业务安全网关设备,集无线控制器、认证服务器、内网终端状态可视化分析系统、流量控制系统、VPN系统、防火墙系统等多种业务于一体。
XMG3.1.2 R1及以下版本
多业务安全网关XMG 文档 功能配置 高级功能 X-LINK智简系列IPsecVPN配置指导手册
{{sendMatomoQuery("多业务安全网关XMG","X-LINK智简系列IPsecVPN配置指导手册")}}

X-LINK智简系列IPsecVPN配置指导手册

更新时间:2023-12-12

1接入点 IPsecVPN 主模式

1.1 网络拓扑 

A内网业务终端通过控制器 IPsecVPN 跨公网访问 B内网业务资源。

1.2  NAC 上配置 

1、【VPN 配置】---【第三方对接】--【第一阶段】选择新增,启用设备填写 IPsecVPN 置参数,并钩上启用主动连接 ;

第一阶段作用:对等体之间彼此验证对方,并协商出 IKE SA保护第二阶段中 IPsec SA协商过程;

固定 IP 地址是建立 IPsecVPN 隧道的公网 IP 地址,该网段不能和控制器内网业务地址冲突;

2 、下一步选择高级【编辑高级选项】选择协商模式为【主模式】;

3 、选择【安全选项】--【新增】添加安全选项。

安全选项是用于第二阶段协商使用的参数;

第二阶段作用:协商 IPsec VPN 单向 SA ,为保护 IPS 数据流而创建,要保持两边数据一致;

下一步点击提交

4 、选择【第二阶段】---【入站规则】

5 、选择【第二阶段】---【出站规则】

新增出站规则,填写本端的内网业务地址段,并选择已经配置好的安全选项;

 

1.3  XMG 上配置 

1、【高级功能】---【IPsec VPN】--【VPN 连接】选择新增,启用设备填写 IPsecVPN 配置参数,并钩上自动连接 ;

2、本/对端网段表示两端内网业务地址;

3、NATT 穿透,IPsec 对等体是内网 IP 地址才需要开启该穿透模式;

4 、下一步选择【高级选项】选择 IKE 配置,选择主模式并填完以下参数,与 NAC 的第一阶段参数保持一致;

【注释:IKE 配置属于 IPsecVPN 的第一阶段】

5 、下一步选择【IPsec配置】,填写完成以下参数,与 NAC 的第二阶段参数保持一致;

【注释:IKE 配置属于 IPsecVPN 的第二阶段】

6 IPsecVPN 连接状态

完成 IPsecVPN 配置后,点击【IPsec VPN---【连接状态】即可查看 IPsecVPN 的运行状态情况;

7 、业务测试

以下截图为 A 分部与 B 分部的业务模拟测试,客户可根据实际业务网段进行 ping 测试;

 

2 接入点 IPsecVPN 野蛮模式 

2.1 网络拓扑 

A内网业务终端通过控制器 IPsecVPN 跨公网访问 B内网业务资源。

 

2.2  NAC 上配置 

1、【VPN 配置】---【第三方对接】--【第一阶段】选择新增,启用设备填写 IPsecVPN 置参数,并钩上启用主动连接 ;

第一阶段作用:对等体之间彼此验证对方,并协商出 IKE SA保护第二阶段中 IPsec SA协商过程;

固定 IP 地址是建立 IPsecVPN 隧道的公网 IP 地址,该网段不能和控制器内网业务地址冲突;

2 、下一步选择高级【编辑高级选项】

选择协商模式为【野蛮模式】 ,同时需要选择身份类型,要对应 XMG (本端/对端)标识;

 

3 、选择【安全选项】--【新增】添加安全选项

安全选项是用于第二阶段协商使用的参数;

第二阶段作用:协商 IPsec VPN 单向 SA ,为保护 IPS 数据流而创建,要保持两边数据一致;

下一步点击提交

4 、选择【第二阶段】---【入站规则】

5 、选择【第二阶段】---【出站规则】

新增出站规则,填写本端的内网业务地址段,并选择已经配置好的安全选项;

2.3  XMG 上配置 

1、【高级功能】---【IPsec VPN】--【VPN 连接】选择新增,启用设备填写 IPsecVPN 配置

参数,并钩上自动连接 ;

2、本/对端网段表示两端内网业务地址;

3、NATT 穿透,IPsec 对等体是内网 IP 地址才需要开启该穿透模式;

4 、下一步选择【高级选项】选择 IKE 配置,选择野蛮模式并填完以下参数,与 NAC 的第

一阶段参数保持一致;

【注释:IKE 配置属于 IPsecVPN 的第一阶段】

5 、下一步选择【IPsec配置】,填写完成以下参数,与 NAC 的第二阶段参数保持一致;

【注释:IKE 配置属于 IPsecVPN 的第二阶段】

6 IPsecVPN 连接状态

完成 IPsecVPN 配置后,点击【IPsec VPN---【连接状态】即可查看 IPsecVPN 的运行状态情况;

7 、业务测试

以下截图为 A 分部与 B 分部的业务模拟测试,客户可根据实际业务网段进行 ping 测试;

3 注意事项 

1、接入点 IPsecVPN 主模式/野蛮模式中 IP 地址都不能与内网业务 IP 地址冲突。

2、接入点 IPsecVPN 野蛮模式中,XMG 多业务网关必须填写(本端/对端)标识。

3、在配置 IPsecVPN 中,A、B 两个分部之间,其中一个分部必须是公网 IP 地址,才能建立 IPsecVPN 连接配置;